ติดตั้ง Endpoint Secure Agent ผ่าน GPO (AD)

บทนำ

บทความนี้อธิบายขั้นตอนการ Deploy Sangfor Endpoint Secure Agent ไปยังเครื่อง Client ทั้งหมดในองค์กรผ่าน Active Directory Group Policy โดยใช้ไฟล์ติดตั้งแบบ .msi ซึ่งเป็นวิธี Deploy แบบ Standard ของ Microsoft ที่ติดตั้ง Software ผ่าน GPO Software Installation

สิ่งที่ต้องเตรียม

• Windows Active Directory Server พร้อม Group Policy Management Console
• ไฟล์ติดตั้ง Endpoint Secure แบบ .msi (Download จาก ES Manager)
• เครื่อง Client ที่ต้องการ Deploy Agent Join Domain เรียบร้อยแล้ว
• เครื่อง Client สามารถเชื่อมต่อ ES Manager ได้ (ตรวจสอบ Port ที่ใช้งาน)

สำคัญ: นำไฟล์ .msi จาก ES Manager ไปวางใน Network Path ที่เครื่อง Client ที่ Join Domain สามารถเข้าถึงได้ และ ห้าม Rename ชื่อไฟล์

เนื้อหา

1. Download ไฟล์ .msi สำหรับ Endpoints Manager Version 3.7.12R2 ขึ้นไป
2. สำหรับ Endpoints Manager Version 3.7.12 ลงไป
3. การตั้งค่าใน Windows Active Directory
4. การตั้งค่าเครื่อง Endpoint (Windows) ที่ Join Domain

1. Download ไฟล์ติดตั้ง Agent .MSI สำหรับ ES Manager 3.7.12R2 ขึ้นไป

1. Login เข้า ES Manager Web Console
2. ไปที่ System > Agent Deployment > Bulk Deployment > Agent Installation via AD Domain
3. เลือก MSI Installer
4. คลิก Download เพื่อดาวน์โหลดไฟล์ .msi
5. เก็บไฟล์ไว้พร้อมใช้งาน โดยห้ามเปลี่ยนชื่อไฟล์

2. สำหรับ Endpoints Manager Version 3.7.12 ลงไป

ให้ทำการ Upgrade Manager เป็น Firmware 3.7.12R2 ขึ้นไปก่อน เพราะ Version 3.7.12 ลงไปไม่รองรับ MSI Installer สำหรับ AD Deployment โดยตรง

3. การตั้งค่าใน Windows Active Directory

ขั้นตอนที่ 1: เตรียม Network Path สำหรับวางไฟล์ .msi

• สร้าง Shared Folder บน Domain Controller หรือ File Server
• ตั้ง Permission ให้ Domain Computers และ Domain Users มีสิทธิ์ Read
• นำไฟล์ .msi ที่ Download มาในขั้นตอนที่ 1 ไปวางใน Shared Folder นี้

ขั้นตอนที่ 2: สร้าง GPO ใหม่

1. เปิด Group Policy Management Console บน Domain Controller
2. คลิกขวาที่ Group Policy Objects เลือก New
3. ตั้งชื่อ GPO ที่สื่อความหมาย เช่น "EDR-Installation"
4. คลิก OK

ขั้นตอนที่ 3: Edit GPO ที่สร้าง

1. คลิกขวาที่ GPO ที่สร้างใหม่ แล้วเลือก Edit
2. หน้าต่าง Group Policy Management Editor จะเปิดขึ้น

ขั้นตอนที่ 4: เพิ่ม Software Installation

1. ไปที่ User Configuration > Policies > Software Settings > Software Installation
2. คลิกขวาที่ Software Installation เลือก New > Package...
3. เลือกไฟล์ .msi ที่วางไว้ใน Network Path (ขั้นตอนที่ 1)
   • สำคัญ: ใช้ UNC Path เช่น \\domaincontroller\share\sangfor.msi ห้ามใช้ Local Path
4. เลือก Deploy Method เป็น Advanced
5. คลิก OK

ขั้นตอนที่ 5: ตั้งค่า Deployment Options

1. ในหน้า Properties ของ Package ที่เพิ่งสร้าง ไปที่ Tab Deployment
2. เลือก Deployment Type เป็น Assigned
3. ในส่วน Deployment Options เลือก "Install this application at logon"
4. คลิก OK เพื่อบันทึก

ขั้นตอนที่ 6: Link GPO กับ OU

1. กลับมาที่ Group Policy Management Console
2. คลิกขวาที่ OU ที่มีเครื่อง Client ที่ต้องการ Deploy Agent
3. เลือก Link an Existing GPO...
4. เลือก GPO "EDR-Installation" ที่สร้างไว้
5. คลิก OK

4. การตั้งค่าเครื่อง Endpoint (Windows) ที่ Join Domain

ขั้นตอนที่ 1: รัน gpupdate /force

1. เปิด Command Prompt บนเครื่อง Endpoint ด้วยสิทธิ์ User
2. รันคำสั่ง: gpupdate /force
3. ระบบจะถามว่าให้ Logoff จาก User หรือไม่ ให้กด Y แล้ว Enter

หมายเหตุ: การรัน gpupdate /force เป็นการบังคับให้ Update Policy ทันที หากไม่รัน Policy จะ Update เองโดยอัตโนมัติเมื่อมี Background Update Rate (โดย Default ทุก 90 นาที) หรือเมื่อ Restart Computer

ขั้นตอนที่ 2: Re-Login เข้าเครื่อง

• หลังจาก Re-Login เข้ามาใน Domain User
• ES Agent จะติดตั้งโดยอัตโนมัติแบบ Silent Installation
• สามารถตรวจสอบจาก Task Manager ดูที่ Network ส่วน Receive Throughput ว่ามี Traffic วิ่งหรือไม่ (จะมี Traffic ระหว่าง Download MSI จาก Network Share)

ขั้นตอนที่ 3: ตรวจสอบการติดตั้ง

• หลังติดตั้งเสร็จ จะมี Icon ของ Sangfor Endpoint Secure ใน System Tray
• เปิด Endpoint Secure Agent ตรวจสอบสถานะ Connection กับ Manager
• ใน ES Manager ไปที่ Endpoints > Endpoint List ตรวจสอบว่าเครื่อง Online

การตรวจสอบ

• ตรวจสอบใน ES Manager Web Console ว่าเครื่อง Endpoint ปรากฏใน Endpoint List พร้อมสถานะ Online
• ทดสอบ Real-time Protection ว่าทำงานได้ปกติ
• หากเครื่องไม่แสดงใน ES Manager:
  • ตรวจสอบ Event Viewer ของเครื่อง Client ใน Application Log หา Error เกี่ยวกับ MSI Installer
  • ตรวจสอบ Network Connectivity จาก Client ไปยัง ES Manager
  • ตรวจสอบว่า Domain User มีสิทธิ์ Read ใน Network Share ที่เก็บไฟล์ .msi

หมายเหตุ

• การ Deploy แบบ MSI ผ่าน GPO Software Installation จะติดตั้งครั้งแรกที่ User Login เข้ามา และจะไม่ติดตั้งซ้ำหากเคยติดตั้งแล้ว
• หาก User Logoff/Login ไม่ติดตั้ง Agent ลองรัน gpresult /h gpresult.html เพื่อดูว่า GPO ถูก Apply กับ User หรือไม่
• วิธีนี้แตกต่างจาก Logon Script Deployment ตรงที่ MSI ใช้ Software Installation ของ GPO โดยตรง ไม่ต้องเขียน Script .bat
• ห้ามเปลี่ยนชื่อไฟล์ .msi เนื่องจากจะทำให้ไม่สามารถ Verify Connection กับ ES Manager ได้
• หากต้องการ Uninstall Agent ผ่าน GPO ใช้วิธีลบ GPO และเลือก "Uninstall this application when it falls out of the scope of management"

บทความที่เกี่ยวข้อง

• วิธี Deploy ES agent ผ่าน AD (Logon Script .bat)
• ขั้นตอนการลบ Registry Antivirus อื่นก่อนลง ES Agent
• Port ที่ใช้งานระหว่าง Client และ Server ของ ES Manager